ゼロトラストセキュリティの第一歩 多要素認証を手軽に導入する秘訣：スマホがなくても多要素認証は実現できる

ランサムウェアをはじめとしたサイバー攻撃に備えてゼロトラストセキュリティを構築することは企業の喫緊の課題であり、その第一歩とも言えるのが多要素認証だ。これを手軽に導入するにはどうすればいいか。

[PR／ITmedia]

PR

　企業が保有する重要情報や個人情報が外部に漏えいするインシデントが後を絶たない。こうした情報漏えいを引き起こす要因の一つがID／パスワードの漏えいだ。同じパスワードを使い回していたり推測しやすい脆弱（ぜいじゃく）なパスワードを使っていたりすることで、アカウントが乗っ取られるリスクが上がる。

　ランサムウェアをはじめとしたサイバー脅威が激化し、街への侵入を壁で守るような境界型防御のアプローチが限界を迎えている今、企業はゼロトラストセキュリティという新たな防御アプローチへと移行する必要がある。これを実現する第一歩が、多要素認証を導入し、上述のリスクがあるID／パスワードだけの認証から脱却することだ。本稿はその秘訣（ひけつ）を解説する。

多要素認証の導入がゼロトラストセキュリティ実現の第一歩

　多要素認証を実現する複数のセキュリティ製品を展開しているソフト技研の福野哲也氏（統括責任者）は「ゼロトラストは全てのアクセスを信用せず、その都度認証を実施することでセキュリティを確保するという考え方です。認証をセキュリティの要としているため、多要素認証の導入がこれを実現する第一歩になります」と話す。

　多要素認証はID／パスワードだけでユーザーを認証するのではなく、そこに異なる要素を加えることで認証の強度を上げる仕組みだ。不審者の侵入を防ぐために、合言葉を知っている者を通すのでなく、合言葉に加えて通行証などの物理的な証明書を持っている者だけを通すと考えると分かりやすい。

　企業アカウントに多要素認証を適用する場合、ID／パスワードのような「知識情報」に基づく認証に加え、電子的な証明書や物理的な認証デバイスなどの「所持情報」や指紋、声紋、顔などの「生体情報」などから、2つ以上の認証要素を組み合わせる。

　福野氏によると、最近はサイバー攻撃が高度化して「パスワードだけでは守り切れない」という認識が浸透してきた他、サプライチェーン間でのセキュリティ対応といった事情から業界・規模を問わず幅広い企業が多要素認証を取り入れる機運が高まっているという。

　個人で手軽に利用できる多要素認証としては、パスワードなどの知識情報とスマートフォンを所持情報として組み合わせるパターンが一般的だ。ID／パスワードの入力後、SMSでスマートフォンに通知されたワンタイムパスワード（OTP）を入力することでサービスへのログインを可能にする。だがこれは、企業には採用しにくい事情がある。

　福野氏は「派遣会社や協力会社の従業員など会社の都合でスマートフォンを支給できない方が多い職場や、コールセンターなどセキュリティ上の都合でスマートフォンの持ち込みを禁止している職場では、これを利用した多要素認証を導入するのは困難です」と話す。

スマートフォンを支給できない職場でも手軽に多要素認証を実現

　こうした特有の事情がある企業にソフト技研が提案しているのが、導入・持ち運びがしやすい物理セキュリティキーの利用だ。物理セキュリティキーはUSBポートに挿入して利用する小型の外付けデバイスで、スマートフォンと同様に所持情報として利用できる。

　ソフト技研の松田智明氏（開発責任者）は「物理セキュリティキーはスマートフォンと違って従業員一人一人に手軽に配布でき、企業のセキュリティポリシーなどの制約も受けにくいことが特徴です」と語る。

　ソフト技研が取り扱う代表的なセキュリティキーが「YubiKey」だ。YubiKeyはスウェーデンと米国に拠点を置くYubicoが開発している物理セキュリティキーで、ログイン認証やアクセス保護などさまざまなセキュリティ機能を提供する。

YubiKeyの外観（出典：ソフト技研提供資料）

　松田氏は「YubiKeyは150カ国以上で数百万ユーザーに採用されている物理セキュリティキーです。国内では大手製造業者やソーシャルゲーム企業、クラウドERPベンダー、クラウド事業者などが導入しており、ゼロトラストセキュリティ構築に向けた多要素認証を手軽に実現するツールとして採用されるケースが増えています」と説明する。

　YubiKeyは薄型で持ち運びしやすく、高い防塵（じん）、防水、防寒性能を備えている。USBポートから電力を供給するため電池も不要だ。松田氏は「YubiKeyは物理セキュリティキーなので当然コピーもできませんし、YubiKeyのシリアルキーと自分のIDをひも付けるため誰かに貸し出すこともできません。ゼロトラストセキュリティの考え方に即したソリューションだと思います」と述べる。

　OSへのログイン時、USBポートにYubiKeyを挿入して金属部分にタッチすると、その都度OTPが生成されてデバイス認証が可能になる。この認証が完了するとID／パスワードを使った認証を実施して多要素認証を実現する。

　ソフト技研は多様な物理セキュリティキーだけでなく、YubiKeyを中心とするセキュリティソリューション「YubiOn」を提供している。多要素認証を実現するソリューションとしては「YubiOn Portal」と「YubiOn WindowsLogon Standalone」「YubiOn MacLogin Standalone」がある。

さまざまな使い方ができるYubiOnソリューション（出典：ソフト技研提供資料）

　YubiOn Portalは「Windows」や「macOS」へのログイン時にYubiKeyを利用した多要素認証を実現するもので、物理セキュリティキーだけでなくYubiKeyの情報やユーザー情報を一元的に管理できるWebポータルを提供する。YubiKeyの導入時には、OSとYubiKey、ユーザーをひも付けるキッティング作業が必要だが、WebポータルはCSVファイルで利用者情報を一括登録する機能もある。「従業員数が1万人を超える大企業に重宝されている機能です」（福野氏）

YubiOn Portalの概要（出典：ソフト技研提供資料）

　OSの位置情報を収集してログ表示する機能や、YubiKeyを紛失したり出張時に持参するのを忘れたりした場合に備えてID認証だけでログインできる「緊急ログイン機能」などもWebポータルで利用できる。管理者はこれらの機能をすぐに設定できるので、不測の事態にも迅速に対応できる。

　「エンドユーザーに好き勝手をさせず管理者が全て設定したい、といったニーズがある場合はぜひ利用してほしい機能です」（松田氏）

　YubiOn WindowsLogon StandaloneやYubiOn MacLogin Standaloneはインターネット接続がない環境でもパッケージソフトをインストールするだけで利用できるスタンドアロンタイプのソリューションで、チャレンジレスポンス認証を使って多要素認証を実施する。その他、ソフト技研はFIDO対応デバイスを利用してFIDO2に準拠したパスワードレス認証や指紋認証を実現できる「YubiOn FIDO Logon」も提供している。

　YubiOn Portalは1万ユーザー以上を擁する人材育成企業グループや総合病院、クレジット関連企業、建設・販売、電気通信、エネルギー企業などで採用実績がある。YubiOn WindowsLogon StandaloneやYubiOn MacLogin Standaloneは大手都市銀行の海外支店や政府系金融機関、クレジット決済関連会社、警察、総合病院などで利用されている。

今後はパスキー対応も　ゼロトラストセキュリティ実現のソリューションを拡充

　ソフト技研は、近年注目を集めるパスワードレス認証技術「パスキー」にYubiOn FIDO Logonを対応させた。「YubiOn FIDO Logonによる生体認証でWindowsにログインできます。この際、顧客はケースに応じて、パスキーでの認証に用いるデバイスにスマートフォンまたは物理セキュリティキーのどちらを利用するかを使い分けられます」（松田氏）

　YubiKey以外の物理セキュリティキーとしては、FIDO2に対応するSwissbit製品を2023年9月から提供する。

　福野氏は「端末などの持ち出しやクラウドサービス利用が増加した結果、管理の目が行き届かなくなり、情報漏えいなどのセキュリティリスクが上がっています。YubiOnでIDやデバイス管理だけでなく、操作端末やクラウドサービスへの入り口を多要素認証で保護することでゼロトラストセキュリティ実現の第一歩を踏み出し、移行をシームレスに推進していきましょう」と締めくくった。